Академический Документы
Профессиональный Документы
Культура Документы
Situao Corrente
Internet uma arquitetura aberta Protocolos concebidos sem preocupao com segurana Uso comercial Aumento de conectividade aumento exposio
Protees conhecidas
PGP: Mail SSH: Telnet SSL: Web
Objetivos
Confiabilidade nas conexes
confidencialidade: criptografia dos dados integridade: autenticao (dado no alterado por terceiros)
Confidencialidade
IPSec
Integridade
IPSec
Integridade
Message-authentication codes (MACs)
IPSec
adicionar uma chave funo hash. O emissor cria o arquivo a ser enviado; calcula o MAC baseado na chave compartilhada com o receptor e adiciona-a ao arquivo; receptor l o arquivo, calcula o MAC e compara com o que veio anexado ao arquivo. Algoritmos MAC: HMAC-MD5, HMAC-SHA1
Integridade
Assinatura digital (digital signature)
criptografia de chave pblica de forma reversa. O emissor assina o dado a transmitir com a sua chave privada; o receptor pode verificar a autenticidade da assinatura usando a chave pblica do emissor. Assinatura: emissor cria um Message Digest (hash produzida a partir do dado a ser enviado); criptografa o digest com sua chave privada; anexa essa assinatura ao documento e envia.
Autenticao
Garante a identidade de ambas as partes
por senha por certificados
Senhas: Forma muito utilizada. Podem ser roubadas e/ou adivinhadas. Uso combinado com algum outro dispositivo fsico (um carto bancrio, por exemplo).
Autenticao
Certificados digitais (padro X.509)
documento eletrnico emitido por uma autoridade de certificado (certificate authority) que garante a identidade de um indivduo. Ele associa um indivduo a uma chave pblica. Ele contm uma chave pblica, informaes para o usurio (nome da companhia), info para o criador do certificado e perodo de validade. Toda essa informao usada para criar um condensado de informao, criptografado com a chave secreta da autoridade, para assinar o certificado.
Sock5
IPSec
Segurana para IP
Prov criptografia e autenticao para a camada de redes (IP)
Pode ento proteger trfego sobre IP, ao invs de outros que apenas protegem trfego em camadas superiores da pilha de protocolos (SSH, SSL, PGP) Garante segurana entre duas mquina e no usurios !!!
IPSec
IPSec usa 3 protocolos
AH: (Authentication Header) Prov servio de autenticao para o pacote. ESP: (Encapsulating Security Payload) Prov criptografia + autenticao. IKE: (Internet Key Exchange) Negocia parmetros de conexo, incluindo chaves, para os dois protocolos acima. (algoritmo DiffieHellman - DH)
AH
IP Authentication Header
Modo Transporte
Tnel
ESP
Encapsulating Security Payload (protocolo 50)
Todo o pacote IPAH Similar ao encapsulado. Tudo que Objetivos algum v um dado
Uma ferramenta de anlise de trfego pode determinar criptografado. AH + confidencialidade e os tipos dos protocolos mesmo que portas (criptografia) (s o payload protegido)
Modo Transporte: entre hosts Modo Tnel: entre hosts, entre gateways, entre host-gateway
AH / ESP
Criptografia
Tcnica que converte uma mensagem legvel (plaintext) em material aparentemente randmico (ciphertext) que no pode ser lido, se interceptado. Necessita de uma chave para ser lida.
Simtrica (mesma chave secreta em ambos os lados) chaves pblicas (par de chaves pblica/privada)
Tcnicas de Criptografia
Block ciphers HMAC - Hash Functions Diffie-Hellman key aggreement Autenticao RSA
Tcnicas de Criptografia
Block ciphers cipher simtrico que utiliza operaes rpidas e e repetidas (somas, deslocamentos, subtraes, etc) em um bloco de dados de uma s vez (8 bytes, por exemplo) e passa ao seguinte.
uma tcnica simtrica !!!
Shared secret deve ser criada no momento da transmisso de forma segura. Como? Esquema de troca de chaves DH (DiffieHelman)
Block Ciphers
Exemplos
HMAC
Usadas pelo IPSec para conferir Secure Hash autenticao/integridade os pacotes de Algorithm Message Digest dados
indica que o pacote no foi mudado durante transmisso.
Algoritmos de HASH (MD5 e SHA)
RSA
Tcnica de criptografia do tipo public key Rivest, Shamir and Adleman (patente quebrada em 2000!)
Usado pelo IPSec apenas para assinaturas digitais, como mtodo de autenticao de gateways para a tcnica de negociao de chaves Diffie-Hellman !
FreeS/WAN
Free Security WAN
Implementao GNU de IPSec que usaremos! KLIPS (Kernel do IPSec)
implementa AH, ESP e manipulao de pacotes pelo kernel. Portanto, preciso habilitar o kernel linux
Configuraes
Gateways
Road Warrior
Fonte: http://jixen.tripod.com/
RoadWarrior
Mos obra !